通过远程桌面协议配置智能卡重定向

提示

本文适用于使用远程桌面协议 (RDP) 提供对 Windows 桌面和应用的远程访问的服务和产品。

使用本文顶部的按钮选择产品以显示相关内容。

可以通过远程桌面协议 (RDP) 配置智能卡设备从本地设备到远程会话的重定向行为。

对于 Azure 虚拟桌面,我们建议使用组策略在会话主机上启用智能卡重定向,然后使用主机池 RDP 属性控制重定向。

对于 Windows 365,你可以使用组策略配置云电脑。

对于 Microsoft Dev Box,你可以使用组策略配置开发箱。

本文介绍受支持的重定向方法,并介绍如何配置智能卡设备的重定向行为。 若要详细了解重定向的工作原理,请参阅通过远程桌面协议重定向

先决条件

在配置智能卡重定向之前,需要具备以下项:

  • 具有会话主机的主机池。

  • 一个 Microsoft Entra ID 帐户,至少分配有主机池上内置的桌面虚拟化主机池参与者这一基于角色的访问控制 (RBAC) 角色。

  • 现有的云电脑。
  • 现有的开发箱。

智能卡重定向

通过使用组策略配置会话主机或在主机池上设置 RDP 属性,可控制将智能卡设备从本地设备重定向到远程会话的功能,这受优先级顺序的约束。

默认配置为:

  • Windows 操作系统:不会阻止智能卡重定向。
  • Azure 虚拟桌面主机池 RDP 属性:智能卡设备从本地设备被重定向到远程会话。
  • 最终默认行为:智能卡设备从本地设备被重定向到远程会话。

重要

配置重定向设置时要小心,因为这会导致最具限制性的设置。 例如,如果你使用组策略在会话主机上禁用智能卡重定向,但使用主机池 RDP 属性启用它,则会禁用重定向。

云电脑的配置可控制将智能卡设备从本地设备重定向到远程会话的功能,并且使用组策略进行设置。

默认配置为:

  • Windows 操作系统:不会阻止智能卡重定向。
  • Windows 365:已启用智能卡重定向。
  • 最终默认行为:智能卡设备从本地设备被重定向到远程会话。

开发箱的配置可控制将智能卡设备从本地设备重定向到远程会话的功能,并且使用组策略进行设置。

默认配置为:

  • Windows 操作系统:不会阻止智能卡重定向。
  • Microsoft Dev Box:启用了智能卡重定向。
  • 最终默认行为:智能卡设备从本地设备被重定向到远程会话。

使用主机池 RDP 属性配置智能卡设备重定向

Azure 虚拟桌面主机池设置中的“智能卡重定向”控制是否将智能卡从本地设备重定向到远程会话。 相应的 RDP 属性为 redirectsmartcards:i:<value>。 有关详细信息,请参阅支持的 RDP 属性

若要使用主机池 RDP 属性配置智能卡重定向,请执行以下操作:

  1. 登录到 Azure 门户

  2. 在搜索栏中,键入“Azure 虚拟桌面”,然后选择匹配的服务条目。

  3. 选择“主机池”,然后选择要配置的主机池

  4. 选择“RDP 属性”,然后选择“设备重定向”。

    显示 Azure 门户中“主机池设备重定向”选项卡的屏幕截图。

  5. 对于“智能卡重定向”,请选择下拉列表,然后选择以下选项之一:

    • 本地计算机上的智能卡设备在远程会话中不可用
    • 本地计算机上的智能卡设备在远程会话中可用默认
    • 未配置
  6. 选择“保存”。

  7. 若要测试配置,请连接到远程会话,然后使用需要智能卡的应用程序或网站。 验证智能卡是否可用且按预期工作。

使用组策略配置智能卡设备重定向

使用组策略配置智能卡设备重定向

选择方案的相关选项卡。

若要使用组策略启用或禁用智能卡设备重定向,请执行以下操作:

  1. 在你用于管理 Active Directory 域的设备上打开“组策略管理”控制台。

  2. 创建或编辑面向提供你要配置的远程会话的计算机的策略。

  3. 导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“设备和资源重定向”。

    显示组策略编辑器中的设备和资源重定向选项的屏幕截图。

  4. 双击策略设置“不允许智能卡设备重定向”将其打开。

    • 若要允许智能卡设备重定向,请选择“禁用”或“未配置”,然后选择“确定”。

    • 若要禁用智能卡设备重定向,请选择“启用”,然后选择“确定”。

  5. 确保将策略应用于提供远程会话的计算机,然后重启这些计算机,使设置生效。

测试智能卡重定向

若要测试智能卡重定向:

  1. 在支持智能卡重定向的平台上,使用 Windows 应用或远程桌面应用连接到远程会话。 有关详细信息,请参阅跨平台和设备比较 Windows 应用功能跨平台和设备比较远程桌面应用功能

  2. 检查智能卡在远程会话中是否可用。 在命令提示符或 PowerShell 提示符的远程会话中运行以下命令。

    certutil -scinfo
    

    如果智能卡重定向正常工作,输出将开始,类似于以下输出:

    The Microsoft Smart Card Resource Manager is running.
    Current reader/card status:
    Readers: 2
      0: Windows Hello for Business 1
      1: Yubico YubiKey OTP+FIDO+CCID 0
    --- Reader: Windows Hello for Business 1
    --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE
    --- Status: The card is being shared by a process.
    ---   Card: Identity Device (Microsoft Generic Profile)
    ---    ATR:
            aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........AB12..
            ab                                                 .
    
    --- Reader: Yubico YubiKey OTP+FIDO+CCID 0
    --- Status: SCARD_STATE_PRESENT | SCARD_STATE_UNPOWERED
    --- Status: The card is available for use.
    ---   Card: Identity Device (NIST SP 800-73 [PIV])
    ---    ATR:
            aa bb cc dd ee ff 00 11  22 33 44 55 66 77 88 99   ;.........34yz..
            ab                                                 .
    
    [continued...]
    
  3. 打开并使用需要智能卡的应用程序或网站。 验证智能卡是否可用且按预期工作。